« 上一篇下一篇 »

Core Force 防火墙的系统防护分析

Core Force是第一个由志愿的安全团队共同维护、编写、更新的防火墙。Core Force号称“第一套社群导向个人电脑安全方案”,写这篇文章时,所采用的版本为0.95.167,所谓community oriented ,不只是回报与分享而已,Core Force 在开发新功能与更新时,主要依据社群的回馈而定,整体而言,这套个人用的安全防护用的程序真的十分特别,在设定上拥有绝佳的弹性,但目前而言,我认为它特别到并不适用于一般使用者。

在安装过程中,会遇到Windows 警告可能不相容及硬件安装的警示,之所以会如此,是因为Core Force 的设计设运作于kernel mode,网络部分则是藉由Core Force Network Driver中介于TCP/IP Stack 及 NIC Driver 之间,如此的设计是为了避免恶意兴为的躲避和欺骗。在官方网页的介绍中,虽然洋洋洒洒的列出了一系列功能,不过实际运作的概念较类似Firewall,但防御重点不仅是Network,也函盖了File 及 Registry,而程式执行的首页也说明了它是一套host-based Intrusion Prevention System (H-IPS)。虽然他并没有如杀软般即时对比档案特徵的能力,但是设定后,任何档案执行了可以的行为时都将会被阻止或询问,因此也不能说它所列出的各种设置夸大不实。

coreforce
 

Core Force 的防御主要分为 System 及 Application 两个层面,可以对整个系统设定 Security Profile,或是仅针对单一程序,而 Security Profile 除了內含应用程序的识别信息、即时监控之外,最主要的成份就是 Policy,而也就是前面提到的 Network、File 及 Registry 三大防护,在程序中所採采用的名称为 Firewall、File System 及 Registry,可个别设置非常细微的权限,并决定符合此Policy 时要 Allow、Block 或 Ask,而 Policy 本身还可以继承另外一個 Policy 的设定,十分方便,对于初学者,也可以采用系统预设的 Security Level,也就是官方提供的 Policy 集合,分为 High, Medium, Medium-Low 及 Low 四个等级,你可以完全自订,或是先套用一组 Security Level 再增加自己的 Policy,比较特別的是,
无论 Security Level 或是 Policy,都是由下往上的覆盖方式,也就是说当一个行为同时符合了多个Policy,会议最后一个Policy设定的动作为主,与多数防火墙产品采用的“第一符合条件”有所不同。

即使是有相关经验的的使用者,恐怕都无法立即上手,对于一般使用者而言,这样的设计实在太过复杂,要做到完善的掌控,每个应用程序都要去设定各自的 Policy,虽然可以透过Shared Policies让多个程序共用,但还是需要逐一确定,而如此麻烦的另一個原因是它的询问界面不够友善,你只能將目前遇到的事件记忆,例如打开 Telnet 上 bbs.xxx.edu.tw,会出现如下询问界面,

coreforce

此时所谓的create a permanent rule,它就只会在 permission 中增加一条允许到bbs.xxx.edu.tw 的项目,你只能事后再进入管理介面调整为允许整个网段之类的,我是沒辦法这样一直玩下去啦,不知道它最后是会自己合并还是会因为目太多而爆掉。而如果你打算就只靠一个 System Security Profile (Global) 撑住,不管个別的程序设定,那其实就没有用他的意义了。有兴趣安装的朋友,我给个简单的整理,方便大家检查
(System/ Application) Security Profile -> Security Level -> Policy -> (Firewall/File System/Registry) Permissions

基于上述原因,我个人觉得Core Force 其实比较适合Server 使用,一來是不会安裝一些奇奇怪怪的程序,二來管理人员比较有如此细致的需求。就此刻而言,在无法大量吸引一般使用者的情況下,无所谓社群芸芸只是空谈,
有网站提供的Application Profile便可略窥一二
http://force.coresecurity.com/index.php?module=forcecommunity
不过一切都只是 Beta,对于将来我还是保持希望。

资源方面.Core Force有两个进程
核心程序LocalCpa.exe 约~10M
PolicyDeveloper.exe  为制定策略而用~5M,制定完毕可以关闭。
总进程10M~15M的PF

官网及下载...
http://force.coresecurity.com/